Akıllı telefonlar için şüpheli kimlik doğrulayıcı uygulamalarıyla ilgili saçmalık önemli bir sorun olmaya devam ediyor: Güvenlik araştırmacılarının aylardır hakkında uyarıda bulunduğu iPhone uygulamalarından biri şu anda Apple’ın App Store’undaki üretkenlik uygulamaları listelerinde üst sıralarda yer alıyor. Yüksek indirme sayıları sağlamak için, iddia edilen 2FA uygulaması, açıkça Apple’ın reklam platformuna da güveniyor ve “Microsoft Authenticator” gibi gerçek – ve ücretsiz – 2FA uygulamaları için ilk arama isabeti olarak görünüyor. Geliştiricilerin bildirdiği gibi, reklam afişinde gösterilen ekran görüntüleri de bir Microsoft uygulaması gibi görünmek için ayarlandı.
Uygun bir uygulama içi satın alma olarak pahalı abonelikler
Bu tür sözde kimlik doğrulama uygulamaları yalnızca reklamlarla dolu değil, aynı zamanda kullanıcıları otomatik olarak yenilenebilir aboneliklere kaydolmaya ikna etmek için yaygın dolandırıcılık taktikleri kullanıyor. Bu, örneğin, satın alma iletişim kutusunda yalnızca kapat düğmesinin gecikmeli olarak gösterilmesini ve birkaç gün süren ücretsiz test aşamasının belirgin bir şekilde ön plana yerleştirilmesini içerir.
Haftalık bir abonelik hızlı bir şekilde 5 avro veya daha fazlasına mal oluyor – yılda 200 avronun çok üzerinde. Biraz daha ucuz olan yıllık fiyatlar da uzun aboneliğin sonucunu kabul edilebilir hale getirmelidir. Şüpheli uygulamalar genellikle birçok 5 yıldızlı incelemeye sahiptir, ancak gerçek kullanıcılar tarafından yazılmış gibi okunmazlar.
Uygulama gizli tohumları üçüncü şahıslara iletir
Uygulamalar, yerleşik, ücretsiz 2FA araçlarına kıyasla herhangi bir katma değer sağlamıyor gibi görünüyor – tam tersi: Bu uygulamalardan bazıları, görünüşe göre aslında gizli “tohum” u düz metin olarak iletiyor ve buradan iki faktör için tek seferlik kod kimlik doğrulaması, geliştirici ikilisi Mysk tarafından oturum açıldığında bildirildiğinde hesaplanır. Saldırganlar, tohumlar hakkında bilgi sahibi olduklarında, iki faktörlü kimlik doğrulamayı pratik olarak atlayabilir ve kullanıcı adını ve şifresini zaten biliyorlarsa, onunla korunan hesaplara erişebilirler. Bununla birlikte, verilerin gerçekten bu tür saldırılar için kullanılıp kullanılmadığı belirsizliğini koruyor – uygulamaların odak noktası abonelik satışı gibi görünüyor.
Bu tür rüzgarlı 2FA uygulamaları, yalnızca iPhone’u değil, Android kullanıcılarını da hedef aldığından, yalnızca Apple’ın App Store’unda değil, Google Play Store’da da bulunabilir. Mysk, Apple’ın sorundan aylar önce haberdar edildiğini, şirketin bireysel kopyaları kaldırdığını ancak diğerlerini kaldırmadığını belirtiyor. Apple bu tür uygulamalardan iki kat daha fazla kazanıyor: Platform operatörü, satılan abonelikler için bir komisyon tutuyor ve App Store’daki reklamlardan para kazanıyor.
(lbe)
Haberin Sonu
Uygun bir uygulama içi satın alma olarak pahalı abonelikler
Bu tür sözde kimlik doğrulama uygulamaları yalnızca reklamlarla dolu değil, aynı zamanda kullanıcıları otomatik olarak yenilenebilir aboneliklere kaydolmaya ikna etmek için yaygın dolandırıcılık taktikleri kullanıyor. Bu, örneğin, satın alma iletişim kutusunda yalnızca kapat düğmesinin gecikmeli olarak gösterilmesini ve birkaç gün süren ücretsiz test aşamasının belirgin bir şekilde ön plana yerleştirilmesini içerir.
Haftalık bir abonelik hızlı bir şekilde 5 avro veya daha fazlasına mal oluyor – yılda 200 avronun çok üzerinde. Biraz daha ucuz olan yıllık fiyatlar da uzun aboneliğin sonucunu kabul edilebilir hale getirmelidir. Şüpheli uygulamalar genellikle birçok 5 yıldızlı incelemeye sahiptir, ancak gerçek kullanıcılar tarafından yazılmış gibi okunmazlar.
Uygulama gizli tohumları üçüncü şahıslara iletir
Uygulamalar, yerleşik, ücretsiz 2FA araçlarına kıyasla herhangi bir katma değer sağlamıyor gibi görünüyor – tam tersi: Bu uygulamalardan bazıları, görünüşe göre aslında gizli “tohum” u düz metin olarak iletiyor ve buradan iki faktör için tek seferlik kod kimlik doğrulaması, geliştirici ikilisi Mysk tarafından oturum açıldığında bildirildiğinde hesaplanır. Saldırganlar, tohumlar hakkında bilgi sahibi olduklarında, iki faktörlü kimlik doğrulamayı pratik olarak atlayabilir ve kullanıcı adını ve şifresini zaten biliyorlarsa, onunla korunan hesaplara erişebilirler. Bununla birlikte, verilerin gerçekten bu tür saldırılar için kullanılıp kullanılmadığı belirsizliğini koruyor – uygulamaların odak noktası abonelik satışı gibi görünüyor.
Bu tür rüzgarlı 2FA uygulamaları, yalnızca iPhone’u değil, Android kullanıcılarını da hedef aldığından, yalnızca Apple’ın App Store’unda değil, Google Play Store’da da bulunabilir. Mysk, Apple’ın sorundan aylar önce haberdar edildiğini, şirketin bireysel kopyaları kaldırdığını ancak diğerlerini kaldırmadığını belirtiyor. Apple bu tür uygulamalardan iki kat daha fazla kazanıyor: Platform operatörü, satılan abonelikler için bir komisyon tutuyor ve App Store’daki reklamlardan para kazanıyor.
(lbe)
Haberin Sonu